Chrome 浏览器漏洞绕过 CSP 窃取数据，数十亿用户面临数据泄露

基于chrome的谷歌浏览器的一个漏洞将允许攻击者绕过网站上的内容安全策略(CSP)，以窃取数据和执行恶意代码。

据PerimeterX网络安全研究人员Gal Weizman称，该漏洞(CVE-2020-6519)存在于Chrome, Opera和Edge，以及Windows, Mac和Android系统中，可能会影响数十亿的网络用户。Chrome版本73（2019年3月）到83版本（84已在7月发布并修复了该问题）受到影响。

CSP是一种Web标准，旨在阻止某些类型的攻击，包括跨站点脚本（XSS）和数据注入攻击。CSP允许Web管理员指定浏览器应将其视为可执行脚本有效源的域。然后，与CSP兼容的浏览器将仅执行从这些域接收的源文件中加载的脚本。

Weizman在周一发布的一项研究中解释说：“ CSP是网站所有者用来执行数据安全策略以防止在其网站上执行恶意shadow-code的主要方法，因此当绕过浏览器执行时，个人用户数据将面临风险，”

研究人员指出，大多数网站都使用CSP，包括ESPN，Facebook，Gmail，Instagram，TikTok，WhatsApp，Wells Fargo和Zoom等互联网巨头。一些著名的名称不受影响，包括GitHub，Google Play商店，LinkedIn，PayPal，Twitter，Yahoo的登录页面和Yandex。

要利用此漏洞，攻击者首先需要（通过暴力破解密码或其他方法）访问Web服务器，以便能够修改其使用的JavaScript代码。然后，攻击者可以在JavaScript中添加frame-src或child-src指令，以允许注入的代码加载并执行它，从而绕过CSP强制执行，从而绕过站点的策略，Weizman解释说。

因为这个bug的后认证方面，它被列为中等严重性问题(在CvSS的10分中打6.5分)。但是，由于它会影响CSP的执行，因此具有广泛的意义。” Weizman说道，并将其与安全带，安全气囊和碰撞传感器存在的问题进行了比较。

研究人员说：“ 由于对安全性的认识提高，当该设备出现故障时，在事故中造成的损害要严重得多。” “以类似的方式，网站开发人员可以允许第三方脚本向其付款页面添加功能，例如，知道CSP将限制对敏感信息的访问。因此，当CSP发生故障时依赖它的网站所面临的风险可能比没有CSP的网站更高。”

该漏洞已在Chrome浏览器中存在一年以上，然后才得到修复，因此Weizman警告说，该漏洞的全部影响尚不为人所知：“ 我们很有可能在未来几个月内了解到利用该漏洞并导致个人身份信息(PII)出于邪恶目的数据泄露事件。”

用户应将其浏览器更新到最新版本，以免遭受攻击。